中東紛争においてサイバーは戦争の次の段階となるのか?
中東で衝突が続く中、注意すべきサイバー攻撃者は誰でしょうか?
中東紛争は、 2023年10月7日のハマスによるイスラエルへの攻撃以来、依然として大きなニュースとなっています。イスラエルはこれに対し、ガザ地区への継続的な猛攻で報復しています。ここ数週間、状況はさらに緊迫化し、イスラエルとイランは互いに相手の領土を爆撃しました。米国はイランの核施設を爆撃し、イランの核開発計画を妨害または破壊しようと介入しました。その後まもなく、ドナルド・トランプ米大統領は両国間の停戦を発表しましたが、本稿執筆時点では暫定的に停戦が維持されているようです。
この戦争における注目は、爆撃、援助の封鎖、破壊といった物理的な行動に集まっているが、もう一つの潜在的な戦線はサイバー空間であり、現代の紛争においてますます一般的になりつつある。現在の敵対行為の主役であるイスラエルとイランは、互いに相手方に対しても、破壊的なサイバー攻撃を仕掛けてきた歴史を持つ。
私たちは昨年、「中東紛争:サイバー脅威の主体とリスクの概要」と題した、この地域から発生するサイバー活動について論じたホワイトペーパーを公開しました。
この地域で発生した最も悪名高いサイバーインシデントの一つは、Stuxnetワームの展開である。これは、イランのナタンツ施設でウランを濃縮するためにイランの科学者が使用する実験装置を破壊するように設計されたものである。この施設は、最近の米国によるイランへの攻撃で爆撃された目標の一つである。Stuxnetは、ハッカーが物理的な装置を操作し、破壊することさえできる能力があることを示した、最初の既知の主要な国家によるサイバー攻撃の一つである。Stuxnetは、ナタンツの濃縮遠心分離機の底にある回転モーターを粉砕するように設計された。ワームがナタンツ施設の外に広がり、プライベートネットワークで発見された後、 2010年にシマンテックの研究者によって初めて公表された。Stuxnetは長い間米国とイスラエルの作為であると疑われてきたが、どちらの国もそれを主張したことはない。Stuxnetが民間ネットワークに侵入した後に初めて発見されたことを考えると、私たちが知らないうちに、現在これらの政府によってサイバー作戦が展開され、互いに攻撃している可能性は十分にあります。
最近のメディア報道によると、この地域にサイバー戦争の可能性があることが示唆されています。例えば、「Predatory Sparrow」と呼ばれる親イスラエル派ハッカーによるイランの仮想通貨取引所Nobitexへの攻撃では、同取引所から9,000万ドル相当の仮想通貨が流出しました。また、イランのハッカー集団「Damselfly」が、著名な学者、ジャーナリスト、セキュリティ研究者など、イスラエルの著名人を狙った標的型フィッシング攻撃を展開しているという報道もありました(詳細はDamselflyのプロフィールをご覧ください)。
Damselfly は、現在の紛争で活動する可能性が最も高い主要なサイバー アクターの 1 つにすぎず、スパイ活動、混乱、破壊目的で他国の重要な組織のネットワークを標的にする可能性があります。
主要な登場人物
イランの主要な攻撃者とその活動については、かなり詳細な知見が得られています。イランの脅威アクターは近年、ますます巧妙化しています。マルウェアの進化だけでなく、強力なソーシャルエンジニアリング能力も発達させており、標的に対してこれを活用し、デジタルハニートラップ作戦を展開するケースさえあります。
イランのサイバー空間における活動の特徴の一つは、敵対的とみなす国の組織に対して定期的に破壊的な攻撃を仕掛けることです。現時点では、これには当然のことながら米国と長年の敵国であるイスラエルが含まれます。これらの攻撃は情報の窃取ではなくメッセージの発信を目的としているため、これらの国の組織にとってリスクとなります。つまり、標的となった国のあらゆる組織が攻撃の標的となる可能性があるということです。
現在最も活発に活動しているイランの脅威アクターの中には、注目すべきグループが数人います。その1つがSeedworm (別名MuddyWater 、Temp Zagros、Static Kitten)です。Seedwormは長年活動しているイランのグループで、通常、スパイ活動や情報収集を目的として古典的なスパイ攻撃を仕掛けます。2017年から活動しているCISAによると、 Seedwormは「イラン情報安全保障省の下部組織」です。Seedwormは当初中東の被害者に焦点を当てていましたが、後に範囲を広げ、アジア、アフリカ、ヨーロッパ、北米の通信、防衛、地方自治体、石油・天然ガス組織を標的としました。このグループは独自のカスタムマルウェアを開発するほか、デュアルユースツールや環境寄生型ツールも使用します。
Seedwormですが、近年では別の脅威グループと連携したり、あるいはサブグループを組織したりして、ランサムウェアを装った破壊的な攻撃を実行するようになりました。これらの攻撃にはDarkBitと呼ばれるランサムウェアが関与しており、DarkBitは通常のランサムウェアと同様にコンピュータを暗号化しますが、攻撃者は身代金を要求するよりも、声明を出すことに関心があるようです。彼らが残した身代金要求のメモの中には、異例なほど政治的なトーンのものもあり、このランサムウェアが金銭目的というよりも報復として利用されたことを示唆しています。
ケーススタディ: Seedwormは小規模組織をターゲットにする
Seedwormと暫定的に関連している最近のキャンペーンは、中東以外の公共事業、輸送、製造業などの小規模組織を対象としていました。
Seedworm自身によって感染が開始させられたのかは不明ですが、Seedwormは多数の侵害された家庭用ルーターにアクセスし、それらを介してプロキシ経由で被害組織を攻撃していました。これらの攻撃はイランのIPアドレスからではなく、様々な国の小型ルーターから行われていました。Seedwormは、ハッキングされたルーターのネットワークを利用して脆弱なIISサーバーをスキャンし、様々な既知の脆弱性を利用してこれらのサーバーにアクセスしました。これらのサーバーに侵入すると、Plinkと呼ばれる市販ツールを使用し、リバースRDPトンネルを作成しました。Plinkは正規の市販ツールです。RDPの受信接続はファイアウォールによってブロックされましたが、Plinkは攻撃者への送信SSH接続を確立することができ、これは許可されます。そして、この接続はファイアウォールを迂回し、従来のRDPトラフィックをトンネリングするために利用されます。
Seedwormはその後、商用のレッドチームおよび敵対的攻撃シミュレーションツールであるBruteRatelをサイドロードし、スケジュールされたタスクを利用して永続化を図りました。攻撃者はBruteRatelを使用して認証情報を取得し、入手後は他のマシンへのトラバースを開始し、最終的にはreg.exeを使用してSAMをダンプすることで、より多くの認証情報を取得しました。Seedwormはその後、ファイルサーバーとSQLサーバーへのアクセスを獲得し、目的のデータを探しました。そして、内部ネットワーク全体にSQLインジェクション攻撃を仕掛け、SQLサーバーへのアクセスを獲得しました。
攻撃者はその後 ndisproxy ウェブサーバー上で中間者攻撃(AITM)を仕掛け、民間組織のサービスにアクセスして利用する政府機関など、実際に関心のある被害者を悪用して感染させるのです。多くの場合、彼らの関心は感染した被害者そのものではなく、そのアクセスを足掛かりとして別の組織へのアクセスを獲得することにあったのです。
標的となった組織の中には、政府関係者など、標的の重要な個人情報を保有していたものもありました。攻撃者はデジタル証明書にも関心を示しており、それを窃取して他の組織への攻撃ツールに署名していました。また、輸送会社もグループの標的に含まれていました。イランの攻撃グループは歴史的に輸送部門に関心を持ち、物資と人の動きを追跡して軍事装備や高価値貨物に関する情報を入手してきました。また、場合によっては国内外の諜報活動にも利用されています。
すべて中小企業で、業種も多岐にわたり、いずれも中東地域外に拠点を置いていました。イランの脅威グループの「典型的な」被害者とはみなされず、 Seedwormの標的範囲が拡大していることを示唆しています。
ドルイドフライ
Druidfly (別名Homeland Justice、Karma)も、注意すべきイランの攻撃グループの一つです。このグループが初めて注目を集めたのは、2022年7月にアルバニア政府に属する複数の標的に対してワイパー攻撃を行った後のことでした。このワイパーは、アルバニアを拠点とするイランの反体制組織であるムジャヒディーン・エ・ハルク(MEK)を標的としたメッセージを残していました。その後まもなく、Homeland Justiceを名乗るグループが、この攻撃の犯行声明を出しました。
この攻撃を受けて、アルバニアはイランとの外交関係を断絶しました。これが2022年9月に新たな攻撃の波を引き起こしました。これは、アルバニアが攻撃の責任を公にイランに帰したことへの報復とみられています。Homeland Justiceはハクティビスト組織を自称していましたが、FBIは後に「イランの国家サイバーアクター」が攻撃に関与したと断定しました。
Druidflyは2023年に再び現れ、イスラエルを標的にBibiWiperと呼ばれるワイパーを使い始めました。これは、イスラエルのベンヤミン・ネタニヤフ首相(ニックネームは「Bibi」)にちなんで名付けられたようです(ケーススタディを参照) 。
Druidflyは現在、この地域で紛争と緊張が続く中で活発に活動しています。Threat Hunter Teamは2025年6月20日に、アルバニアの組織を標的としたDruidflyワイパーを確認したとツイートしました。ワイパーは正規の証明書で署名されていましたが、おそらく盗まれたものでした。翌月曜日(6月23日)、アルバニアの首都ティラナでサイバー攻撃が発生し、市の公式ウェブサイトがダウンして地方自治体の業務に影響が出たことが確認され、公共サービスが混乱したと報道されました。Homeland Justiceはこの攻撃の責任を主張し、市の公式ウェブサイトをダウンさせ、データを盗み出し、サーバーを消去したと述べ、攻撃の理由として国内のMEKの存在を挙げました。
ケーススタディ:イスラエルを標的としたドルイドフライ攻撃
2023年のガザ紛争の激化を受けて、 Druidflyはイスラエル国内の複数の標的に対する一連のワイパー攻撃に関与したことが判明しました。今回の攻撃は、パレスチナの活動に共感するハクティビスト集団を名乗る「Karma」という人物名で実行されました。
これらの攻撃に使用されたワイパーは「BibiWiper」と呼ばれていました。これは、イスラエルのベンヤミン・ネタニヤフ首相(愛称はビビ)にちなんで名付けられたようです。ワイパーはハードディスク上のファイルを暗号化した後、マスターブートレコード(MBR)を上書きしてコンピュータをクラッシュさせます。MBRが破壊されているため、コンピュータを再起動しようとしても失敗します。ワイパーの解析により、ワイパーのコード内には明確な反イスラエルのメッセージが隠されていることが明らかになりました。
さらに、 Threat Hunter Team によるBibiWiperの分析では、2022 年と 2023 年にアルバニアへの攻撃中にDruidflyが展開したワイパーと明らかな類似点が見つかりました。
BibiWiper攻撃を開始するために使用された他のツールを追跡すると、これらの攻撃と以前のDruidfly攻撃の間で、戦術、手法、手順に次のような重複があることが明らかになりました。
- HTTPSnoopマルウェアは、 Druidflyワイプ攻撃の前にすでに導入されていた。
- リモートデスクトップツールAnyDeskとScreenConnectの使用
- ReGeorgウェブシェルの使用
イトトンボ
Damselfly(別名Charming Kitten、Mint Sandstorm)は、2014年から活動しているイランの諜報組織です。当初はイスラエルを標的とした攻撃で知られていましたが、その後、米国をはじめとする国々にも攻撃対象を広げました。このグループは主に情報収集に関与していることで知られていますが、メンバーの中には恐喝攻撃にも関与していたことが知られています。複数のベンダーは、この組織がイラン革命防衛隊(IRGC)と関連していると主張しています。
2022年3月、Damselflyは、大規模なソーシャルエンジニアリングキャンペーンを展開していると報告された複数のイラン系グループの一つでした。これらのキャンペーンに共通する特徴としては、カリスマ性のあるソックパペットの使用、将来の就職情報への誘導、ジャーナリストによる勧誘、そしてシンクタンクの専門家を装って意見を求めることなどが挙げられます。攻撃者はLinkedIn、Facebook、Twitter、Googleなどのネットワークを活用しました。
Damselflyは、2023年7月に米国を拠点とするシンクタンクの核セキュリティ専門家を狙った攻撃、2023年11月にイスラエルの運輸、物流、テクノロジー部門を狙った攻撃、そして2024年1月にベルギー、フランス、ガザ、イスラエル、英国、米国の大学や研究機関で中東問題に携わる個人を狙ったキャンペーンにも関連付けられています。このキャンペーンの攻撃者は、イスラエルとハマスの紛争をテーマにした特注のフィッシング詐欺を使用して、ターゲットを騙してマルウェアをダウンロードさせました。
チェック・ポイントは最近、 2025年6月中旬に開始された新たなDamselfly攻撃キャンペーンが、イスラエルのジャーナリスト、サイバーセキュリティ専門家、そしてイスラエルの主要大学のコンピュータサイエンス教授を標的とし、スピアフィッシング攻撃を仕掛け、認証情報や多要素認証コードを盗み、標的のメールアカウントにアクセスしようとしたと報告しました。被害者の中には、技術系幹部や研究者の架空のアシスタントを装った攻撃者から、メールやWhatsAppメッセージを通じてアプローチを受けた人もいました。
カマキリ
Mantis(別名Desert Falcon、Arid Viper、APT-C-23)は、少なくとも2014年から活動しているアラビア語圏のグループで、ガザ地区を拠点としているようです。このグループは、政府、軍事、メディア、金融、研究、教育、エネルギーの各セクターを標的にスパイ攻撃を仕掛けることで知られています。攻撃のほとんどは中東の組織を対象としていますが、時折、中東地域外の標的を攻撃することもあります。また、ガザ地区内の個人や組織を標的にすることも知られています。他のベンダーはMantisをハマスと関連付けていますが、Threat Hunter Teamは、特定のパレスチナ組織との関連を明確に特定できていません。
このグループは主に、悪意のある添付ファイルや悪意のあるファイルへのリンクを含むスピアフィッシングメールを感染経路として利用しています。Mantisはカスタムマルウェアを使用し、最新のツールセットにはバックドアTrojan.MicropsiaとTrojan.AridGopherが含まれています。Micropsiaは、スクリーンショットの取得、キーロギング、WinRARを使用した特定形式のファイルのアーカイブ化などを行い、データ窃取の準備を整えます。しかし、その主な目的は、攻撃者のために二次ペイロードを実行することにあるようです。Arid GopherはGo言語で記述されたモジュール式のバックドアです。攻撃者によって定期的に更新・書き換えられているようで、おそらく検出を回避するためと思われます。
これらのツールは、2022年末から2023年初頭にかけてパレスチナ自治区内の組織を標的としたMantis攻撃で使用されました。このキャンペーンの初期感染経路は不明ですが、MicropsiaとAridGopherの両方のマルウェアが使用されました。ある侵入では、攻撃者は同じツールセットの3つの異なるバージョン(つまり、同じツールの異なる亜種)を3つのコンピュータグループに展開しました。このように攻撃を区分けしたのは、予防措置だったと考えられます。1つのツールセットが発見されたとしても、攻撃者は標的のネットワーク上に永続的に存在し続けるでしょう。
マンティスのオペレーターがガザ地区に拠点を置いている場合、イスラエルによるガザ地区封鎖と地域におけるインターネットアクセスの制限を考えると、現在このグループが活動している可能性は低い。しかし、グループのメンバーが活動の拠点としている国や地域外に拠点を置くことは珍しくなく、マンティスのオペレーターもそのケースに当てはまる可能性があるが、その証拠はない。
次は何?
中東紛争が続く中、イラン発のサイバー攻撃は、イスラエルのみならず米国などの支援国を標的とする可能性があり、スパイ活動または妨害工作が中心となる可能性が高い。Seedworm、Damselfly、Druidflyは、この紛争に介入する可能性が高い攻撃者であり、これらのグループは深刻かつ破壊的な攻撃を実行するスキルと経験を有している。
イランの攻撃者が持つソーシャルエンジニアリングのスキルは、イスラエル、米国、その他の関心のある国や組織の組織が認識しておくべきものです。イランの脅威アクターは、組織の警戒が緩んでいるとわかっている時期、たとえば週末や祝日など、活動が長期間気付かれずに済む可能性が高い時期に攻撃を実行してきた歴史もあります。このことが最も明確に示されたのは、 2012年、2016年、2018年にサウジアラビアの組織を標的としたShamoonワイプ攻撃で、これらの攻撃は主に祝日や週末に始まりました。米国では多くの人にとって休暇シーズンが近づいていますが、脅威アクターはこの静かな時期をネットワークを掌握し、大規模な混乱を引き起こす絶好の機会と考える可能性があるため、サイバーチームは警戒を強める必要があります。
